Трирівнева клієнт-серверна архітектура з stateless-сесіями та авторизацією на кожен запит. Документ описує лише архітектурні принципи; вимоги до конкретних впроваджень — у референсних архітектурах.
Класична трирівнева архітектура: клієнт → сервер застосувань → сховище даних. Розділення відповідальності між рівнями забезпечує безпеку, масштабованість, і платформо-агностичність.
Web-доступ і native-клієнти. Кросплатформений: Windows, Linux, macOS, Android, iOS. Працює на каналах від 64 кбіт/с. Жодна бізнес-логіка не виконується на клієнті — він рендерить отримані інструкції та передає назад події.
Stateless. 5–10 тис. активних користувачів на сервер застосувань, 50 тис.+ у кластерній схемі. До 20 000 прикладних операцій на хвилину на референсному профілі. Авторизація обчислюється на кожен запит — клієнтський стан не успадковується.
MS SQL Server, Oracle, DB2 паралельно. Структуровані дані у СУБД, неструктуровані — у NAS або файловій системі. Шифрування на рівні БД для чутливих полів. Backup та DR — за регуляторними RTO/RPO.
Більшість Zero Trust рішень додаються поверх існуючих систем — як ZTNA, як IAM-шар, як service mesh sidecar. UnityBaseDefense вбудовує ZT-принципи всередину застосунку, з гранулярністю до поля запису.
Кожне звернення до серверу обчислює право у момент запиту. Жодного клієнтського кешування. Шар авторизації оцінює: хто запитує (роль, підрозділ, допуски), що запитує (тип об'єкта, конкретний запис, конкретне поле), в якому контексті (життєвий цикл запису, історія попередніх дій, час доби, поточна сесія).
Реалізація: правила декларуються прикладною моделлю у конструкторі форм, без додаткового програмування. Затримка авторизації — 5–15 мс на запит у залежності від складності правил.
Право бачити запис не означає право бачити всі поля. Класичний приклад: кадровий офіцер бачить фіо та посаду, але не бачить адреси проживання і контактів родичів. Це окремий допуск, оцінюваний для кожного поля.
Сервер застосувань не зберігає клієнтського стану. Перезавантаження не вимагає синхронізації сесій. Балансування навантаження — простим L7 балансером без sticky sessions. Це підвищує стійкість до відмов і спрощує горизонтальне масштабування серверного шару.
Кожна дія потрапляє у журнал з усіма параметрами: хто, коли, з якого IP, який документ, яка дія, з яким результатом. Журнал зберігається у структурі WORM. Дії адміністраторів — у тому ж журналі, без можливості видалити власні сліди.
Юридично значимі дії (резолюції, накази, затвердження) підписуються ЕЦП за ДСТУ 4145. Платформа підтримує паралельно українську ЕЦП та міжнародні PKI через SSPI. Інтеграція з ЦСК — через стандартні протоколи.
Стан реалізації семи тенетів Zero Trust. Документ оновлюється з кожним релізом платформи.
| Тенет | Положення | Реалізація |
|---|---|---|
| Tenet 1 | All data sources and computing services are resources | Реалізовано |
| Tenet 2 | All communication secured regardless of network location | Реалізовано |
| Tenet 3 | Access granted on a per-session basis | Реалізовано |
| Tenet 4 | Access determined by dynamic policy | Реалізовано |
| Tenet 5 | Monitoring and measuring integrity of all assets | Частково |
| Tenet 6 | All authentication and authorization are dynamic | Реалізовано |
| Tenet 7 | Continuous collection of asset state for security posture | Roadmap |
Стан реалізації основних родин контролів NIST SP 800-53 Rev. 5.
| Code | Родина контролів | Реалізація |
|---|---|---|
| AC | Access Control | Реалізовано |
| AU | Audit and Accountability | Реалізовано |
| IA | Identification and Authentication | Реалізовано |
| SC | System and Communications Protection | Реалізовано |
| SI | System and Information Integrity | Реалізовано |
| CM | Configuration Management | Реалізовано |
| IR | Incident Response | Частково |
| RA | Risk Assessment | Не у скоупі |
| PE | Physical and Environmental Protection | Не у скоупі |
| Норматив | Положення | Стан |
|---|---|---|
| НД ТЗІ 2.5-004-99 | Профіль захисту АС-2 | Г-3 |
| НД ТЗІ 2.5-004-99 | Профіль захисту АС-3 | У проектах окремо |
| НД ТЗІ 3.7-003-2005 | Порядок створення КСЗІ | Реалізовано |
| ДСТУ 4145 | Електронний підпис | Реалізовано |
| ДСТУ 7624 | Шифрування блоковими алгоритмами | Реалізовано |
| КМУ № 712 (2025) | Ризик-орієнтована авторизація | Реалізовано |
Платформа спроектована як технологічно-агностична. Конкретні версії компонентів стека змінюються між релізами; нижче — поточний на 2026 рік стан.
Microsoft SQL Server 2017+, Oracle Database 19c+, IBM Db2 11.5+. PostgreSQL — у beta-стадії, з повним переходом у продакшн запланованим на 2027 р.
Windows Server 2019+, Red Hat Enterprise Linux 8+, Ubuntu Server 22.04+, Astra Linux SE.
Тонкий клієнт: Windows 10+, Linux (X11 та Wayland), macOS 12+, Android 9+, iOS 15+. Веб-доступ — через будь-який сучасний браузер (Chromium 100+, Firefox 100+, Safari 15+).
Інтеграція з засобами, сертифікованими Держспецзв'язку: «Бар'єр-301», «Криптоконтейнер», «UA-токен», «Електронний ключ Україна». Через SSPI — підтримка міжнародних PKI (X.509, RFC 5280).
LDAP v3, Active Directory (Windows Server 2016+), Samba 4 Domain Controller. SSO через SAML 2.0 та OpenID Connect.